RE: E-Mail-Adresse für's Monitoring ändern

Adrian Schmutzler mail at adrianschmutzler.de
So Mai 8 12:09:00 CEST 2022


Hallo,

ich weiß nicht mehr, warum man sich ursprünglich für dieses Verhalten entschieden hat (war vor meiner Zeit).

In der Tat würde es Sinn machen, hierzu ein Issue zu eröffnen. Am besten du stellst dar, wie der Prozess deiner Meinung zu verbessern wäre.

Grundsätzlich sehe ich hier auch eine eher geringe Priorität, allerdings wäre ja auch z.B. das Abstellen des Resets nach dem Ändern der Adresse (sofern korrekt beobachtet) auch relativ einfach abzuschalten, sodass es hier schon grundsätzlich eine Chance auf Änderung gibt.

Grüße

Adrian

> -----Original Message-----
> From: franken [mailto:franken-bounces at freifunk.net] On Behalf Of Fabian
> Bläse
> Sent: Sonntag, 8. Mai 2022 11:54
> To: Tobias Leupold <tl at stonemx.de>
> Cc: franken at freifunk.net
> Subject: Re: E-Mail-Adresse für's Monitoring ändern
> 
> Hallo Tobias,
> 
> wenn du möchtest kannst du ein passendes Issue beim Monitoring anlegen.
> https://github.com/FreifunkFranken/fff-monitoring/issues
> 
> Allerdings ohne Garantie, dass sich jemand zeitnah darum kümmert.
> 
> Wenn du möchtest kannst du gerne auch versuchen das ganze selbst in die
> Hand zu nehmen und als Pull Request einzureichen.
> Die entsprechende Stelle im Code ist hier:
> https://github.com/FreifunkFranken/fff-
> monitoring/blob/master/ffmap/web/application.py#L432-L461
> 
> Gruß
> Fabian
> 
> On 30.04.22 11:32, Tobias Leupold wrote:
> > Hallo Fabian!
> >
> > Das ist natürlich jetzt nicht super-sicherheitskritisch. Es ginge ja
> > auch nur dann, wenn man eingeloggt ist, und jemand anderes dann
> > Zugriff auf das benutzte Gerät hat.
> >
> > Ich verstehe nur nicht, warum das Passwort überhaupt zurückgesetzt
> > wird, und dann auch noch im Klartext per E-Mail verschickt wird.
> >
> > Meistens läuft es ja einfach so, dass eine E-Mail an die neue Adresse
> > geht, und man dann auf einen Bestätigungs-Link klickt. Das Passwort
> > bleibt unverändert.
> > Bzw. wenn man auf Nummer sicher gehen will, dann kann man zusätzlich
> > an die alte E-Mail-Adresse eine Nachricht schreiben von wegen "Die
> > E-Mail-Adresse wurde von ... zu ... geändert. Wenn du das nicht warst,
> dann klicke hier ..."
> >
> > Also das wäre jetzt meiner Meinung nach das "normale" Vorgehen ...
> >
> > Grüße, Tobias
> >
> > Am Samstag, 30. April 2022, 11:26:06 CEST schrieb Fabian Bläse:
> >> Hallo Tobias,
> >>
> >> aktuell haben wir niemanden, der sich aktiv um den Code des
> >> Monitoring kümmert. Da müsste man mal sehen, wie man das anstellt.
> >>
> >> So ungewöhnlich diese Technik bei fragwürdigem Nutzen scheinen mag,
> >> sehe ich gerade die Dringlichkeit einer Änderung nicht. Wie sähe hier
> >> denn ein Angriffsvektor aus, der nicht auch über einen ganz normalen
> >> Passwortreset erreicht werden könnte, nachdem die E-Mail Adresse
> geändert ist? Ggf.
> >> kannst du mir auch direkt antworten, wenn du das für
> >> sicherheitskritisch hältst.
> >>
> >> Wenn ich dich richtig verstehe, dann ist das Problem primär ja eher,
> >> dass man Passwort und E-Mail einfach mit dem Session Token
> >> (eingeloggt sein) ändern kann, ohne das Erzwingen einer sehr aktuellen
> Authentifizierung.
> >> Also wenn man sich beispielsweise in einem Internetcafe einloggt hat
> >> und sich nicht wieder ausloggt.
> >>
> >> Gruß
> >> Fabian
> >
> >
> >



Mehr Informationen über die Mailingliste franken